Wissen

Kritische Sicherheitslücke in ASP.NET Core erlaubt Umgehung von Sicherheitsfunktionen

Microsoft hat eine schwerwiegende Sicherheitsanfälligkeit in ASP.NET Core offengelegt, die eine Umgehung zentraler Sicherheitsmechanismen ermöglicht. Die Schwachstelle (CVE-2025-55315) wird mit einem CVSS-Score von bis zu 9.9 bewertet und betrifft mehrere Versionen von ASP.NET Core sowie Visual Studio 2022. Ursache ist ein HTTP Request Smuggling-Fehler (CWE-444), der durch inkonsistente Interpretation von HTTP-Anfragen entsteht.

Read More

Konformität mit NIS2-Richtlinie und Cyber Resilience Act

NIS2 und Cyber Resilience Act Die NIS2-Richtlinie (EU 2022/2555) und der Cyber Resilience Act (CRA) bilden neue EU-Vorgaben zur Cybersicherheit. NIS2 zielt auf Betreiber wesentlicher Dienste und kritischer Infrastrukturen ab, während der CRA ein Mindestmaß an IT-Sicherheit für Produkte mit digitalen Elementen vorschreibt. Beide Regelwerke gehen über freiwillige Standards wie ISO/IEC 27001 hinaus und schaffen verbindliche Pflichten. EU-Mitgliedstaaten mussten NIS2 bis Oktober 2024 in nationales Recht umsetzen – Deutschland arbeitet an einem NIS2-Umsetzungsgesetz, das voraussichtlich Ende 2025 in Kraft tritt. Der CRA ist hingegen eine EU-Verordnung, die am 10. Dezember 2024 in Kraft getreten ist und ab dem 11. Dezember 2027 vollumfänglich gilt. Im Folgenden werden die zentralen Anforderungen beider Regelungen erläutert – insbesondere was über eine ISO 27001-Zertifizierung hinaus zu beachten ist – sowie die Auswirkungen auf Lieferanten (z.B. Dienstleister) und Software/Cloud-Anbieter.

Read More

Kritische Schwachstelle in MOVEit Transfer entdeckt

Progress hat eine schwerwiegende Sicherheitslücke (CVE-2025-10932) in allen Versionen seiner MOVEit-Transfer-Software bekannt gegeben. Die Schwachstelle betrifft das AS2-Modul und wird mit einem CVSS-Score von 8.2 (hoch) bewertet. Ursache ist eine Uncontrolled Resource Consumption (CWE-400), die Angreifern ermöglichen kann, durch gezielte Anfragen Systemressourcen übermäßig zu beanspruchen und so den Dienst zu stören oder lahmzulegen.

Read More

Kritische Authentifizierungs­lücke in Dell Storage Manager ermöglicht Remote-Zugriff ohne Login

Dell warnt vor einer kritischen Sicherheitslücke (CVE-2025-43995) in Dell Storage Center / Dell Storage Manager (DSM) Version 20.1.21, die eine Umgehung der Authentifizierung erlaubt. Laut Dell kann ein unauthentifizierter, entfernter Angreifer über manipulierte Anfragen an die Komponente ApiProxy.war im DataCollectorEar.ear auf interne DSM-APIs zugreifen.

Read More

Proof of Concept für kritische BIND-Schwachstelle CVE-2025-40778 veröffentlicht

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in einem aktuellen Hinweis (BITS-H Nr. 2025-288152-1032) vor einer akuten Gefährdung von DNS-Servern durch die Veröffentlichung eines Proof of Concept (PoC) zur Schwachstelle CVE-2025-40778 in BIND 9.x.

Read More

Race Condition in Proxmox Backup Server kann zu beschädigten Backups führen

Proxmox hat eine Warnung zu einer Race Condition in Proxmox Backup Server 3.3 und älter veröffentlicht, die unter bestimmten Umständen zu korrupten Backups führen kann. Der Fehler tritt auf, wenn während einer laufenden Garbage-Collection (GC) gleichzeitig Snapshots gelöscht oder neue erstellt werden. Dabei kann es passieren, dass GC irrtümlich noch benötigte Datenblöcke entfernt, wodurch betroffene Sicherungen nicht mehr verifiziert oder wiederhergestellt werden können.

Read More

CVE-2025-9164: DLL-Hijacking in Docker Desktop Installer ermöglicht lokale Rechteausweitung

Eine neu veröffentlichte Schwachstelle (CVE-2025-9164, auch GHSA-5p9c-72f9-f98q, EUVD-2025-36191) betrifft den Docker Desktop Installer bis Version 4.48.0. Laut Advisory nutzt der Installer eine unsichere DLL-Suchreihenfolge und lädt Bibliotheken aus dem Downloads-Ordner des Benutzers, bevor Systemverzeichnisse geprüft werden.

Read More

F5 meldet Sicherheitsvorfall mit Zugriff auf BIG-IP-Entwicklungsumgebung

Der IT-Sicherheitsanbieter F5 hat am 15. Oktober 2025 Details zu einem Sicherheitsvorfall veröffentlicht, bei dem ein staatlich unterstützter Angreifer im August 2025 langfristigen Zugriff auf interne Systeme hatte. Betroffen waren unter anderem die Entwicklungsumgebung der BIG-IP-Produkte sowie Plattformen zur Wissensverwaltung. Laut F5 wurden Dateien mit Quellcode und Informationen zu noch unveröffentlichten Schwachstellen entwendet.

Read More

Kritische Schwachstellen in Zyxel-ZLD-Firewalls

Zyxel warnt vor zwei Schwachstellen in der ZLD-Firmware seiner Firewall-Serien ATP, USG FLEX und USG FLEX 50(W)/USG20(W)-VPN, die Angreifern teils weitreichende Systemzugriffe ermöglichen. Patches stehen mit Version 5.41 bereit.

Read More

EtherHiding: Nordkoreanische Smart-Contract-Malware für Krypto-Diebstahl

Google Threat Intelligence meldet, dass die nordkoreanische Gruppe UNC5342 erstmals die Technik „EtherHiding“ einsetzt, um Malware über öffentliche Blockchains zu laden und Kryptowährungen zu stehlen – der erste beobachtete Nation-State-Einsatz dieser Methode.

Read More